CVE-2018-17153 in My Cloudinformação

Sumário

de VulDB • 13/06/2026

Foi descoberto que o dispositivo Western Digital My Cloud até a versão 2.30.x é afetado por uma vulnerabilidade de bypass de autenticação. Um atacante não autenticado pode explorar essa vulnerabilidade para se autenticar como um usuário administrador sem precisar fornecer uma senha, obtendo assim controle total do dispositivo. (Sempre que um administrador faz login no My Cloud, uma sessão no lado do servidor é criada e vinculada ao endereço IP do usuário. Após a criação da sessão, é possível chamar módulos CGI autenticados enviando o cookie username=admin na requisição HTTP. O CGI invocado verificará se há uma sessão válida presente e vinculada ao endereço IP do usuário.) Foi constatado que é possível para um atacante não autenticado criar uma sessão válida sem realizar login. O módulo CGI network_mgr.cgi contém um comando chamado "cgi_get_ipv6" que inicia uma sessão de administrador -- vinculada ao endereço IP do usuário que faz a requisição -- se o parâmetro adicional "flag" com o valor "1" for fornecido. A invocação subsequente de comandos que normalmente exigiriam privilégios de administrador agora tem sucesso se um atacante definir o cookie username=admin.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Reservar

18/09/2018

Divulgação

18/09/2018

Moderação

aceite

Entrada

VDB-124222

CPE

pronto

EPSS

0.91953

KEV

não

Atividades

muito baixo

Sector

Chemical, Finance, ...

Fontes

MITREhttps://www.cve.org/CVERecord?id=CVE-2018-17153
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2018-17153
CVE Detailshttps://www.cvedetails.com/cve/CVE-2018-17153/

VoltarVisão GeralPróximo

Want to know what is going to be exploited?

We predict KEV entries!